CVE-2026-55407 in buffainformación

Resumen

por VulDB • 2026-07-16

Buffa es una implementación de Protocol Buffers escrita puramente en Rust con soporte nativo para las ediciones de protobuf. Antes de la versión 0.8.0, la función `decode_unknown_field` del decodificador protobuf de buffa asignaba memoria heap proporcional a entradas no confiables (campos desconocidos en el protobuf serializado) sin imponer un presupuesto de asignación, lo que afectaba a cualquier mensaje decodificado a partir de una entrada no confiable utilizando código generado con `preserve_unknown_fields=true` (el valor predeterminado); una carga útil pequeña y bien formada de campos desconocidos anidados dentro de un StartGroup podría desencadenar aproximadamente 22 veces la amplificación de memoria (por ejemplo, una entrada de 64 MiB que fuerza alrededor de 1.4 GB de asignación en el heap), y los campos desconocidos delimitados por longitud podrían tener tamaños arbitrarios, por lo que un atacante no autenticado podría provocar el bloqueo de un proceso mediante agotamiento de memoria debido a que la limitación superior del tamaño del mensaje principal no tenía en cuenta la amplificación durante la decodificación. Este problema se corrige en la versión 0.8.0.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub M

Reservar

2026-06-16

Divulgación

2026-07-16

Moderación

aceptado

Artículo

VDB-379583

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Might our Artificial Intelligence support you?

Check our Alexa App!